應用於使用者組的 GPO 電腦配置

我目前正在努力解決以下問題：在我們的組織中，我們希望阻止大多數使用者訪問 OneDrive。我在電腦配置中找到了以下 GPO 設置來確定這一點：

Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage

但是應該允許管理使用 OneDrive，所以我創建了一個包含所有管理使用者的全域安全組，“GRP_ALLOW_ONEDRIVE”。

現在我們有 2 個 OU：一個包含使用者，一個包含電腦。因此，我將此 GPO 連結到 COMPUTERS OU 並在該特定使用者組的安全設置中添加拒絕…

但這似乎不起作用，我應該首先猜到，因為它是電腦配置……

所以基本上我的問題歸結為：

如何在 COMPUTERS OU 中成功創建 GPO 以禁用除例外組中的使用者之外的 OneDrive？管理人員登錄到哪台電腦並不重要，他們應該始終可以訪問 OneDrive。所有其他使用者應該無法啟動 OneDrive，無論他們登錄到哪台電腦。

謝謝！

不幸的是，這是無法做到的。您不能向使用者應用或過濾電腦配置設置。

您可以做的是使用使用者配置設置下的軟體限制策略來阻止 OneDrive 執行檔。然後，您可以針對特定使用者或組過濾此 GPO。

您不能將電腦 GPO 應用於使用者。每個 GPO 的電腦設置都應用於電腦級別，與登錄電腦的使用者無關。電腦使用自己的域電腦帳戶訪問 GPO，因此包含使用者的安全過濾組將首先排除電腦帳戶應用 GPO。拒絕使用者訪問 GPO 的安全組不會阻止電腦帳戶訪問和應用Computer ConfigurationGPO 的一部分。

簡而言之：您無法將設置真正匹配Computer Configuration到單個使用者。您需要找到一些針對使用者HKEY_CURRENT_USER禁用的特定於使用者的設置（例如 中的鍵），OneDrive而不是在電腦上全域禁用。

引用自：https://serverfault.com/questions/800195